تاپیک اختصاصی محصولات COMODO - || آرشیو شماره 1 ||

[santamove]

وقتی defense+ به من پیغامی داد که پروسس svchost.exe اجازه دارد به وب دسترسی پیدا کند،و من گزینه block را انتخاب کردم،
وقتی وارد محیط کاربری کومودو می شوم دو چیز توجه مرا بیشتر جلب می کند،


با وجود این که فایروال پروسس فوق را به طور مثال 222 بار بلوک کرده ولی این پروسه ترافیکinbound connection را دارد!!
شما می توانید در تصویر زیر جزئیات جلوگیری از 222بار فضولی!!! پروسس svchost.exe را ببینید...


سه سوال برای من پیش می آید؟

1.بلوک شدن این پروسس(svchost.exe)چه تاثیر سویی می تواند داشته باشد؟

2.وقتی این پروسس بلوک می شود چرا هنوز ترافیک دارد و مفهوم inbound connection چیست؟

3.چگونه می توان این پروسه را که قبلا بلوک کردم از حالت بلوک در بیاورم؟؟در آن صورت چه مزیتی بر من خواهد داشت؟

در قسمت active process list که ازdefense+کومودو وارد شدم،به این نکته جالب رسیدم:


یعنی این پروسه ها قابل اطمینانند؟!هدف از دسترسی به اینترنت برای این پروسه ها چیست؟

کمی این روند مرا گیج کرده،در جایی من آن ها را بلوک کرده ام در جایی می بینم ترافیک دارند و در جایی می بینم که آن ها trustedهستند،لطفا در این زمینه شفافسازی نمائید...

با تشکر ،

[HADI ONLY]

من به پشتیبانی و قسمت مربوطه . چت کردم .
گقتند شما نباید این فایل مربوط به ویندوز را بلوک کنید در غیر اینصورت با مشکلات اینترنتی مواجه می شوید چون این فایل مربوط به خود ویندوز هست . همه پروسس ها را چک کردند و قابل اطمینان بودند . عکس های شما رو فرستادم . پس مشکلی نیست .

[santamove]

سوالات...

1.بلوک شدن این پروسس(svchost.exe)چه تاثیر سویی می تواند داشته باشد؟

2.وقتی این پروسس بلوک می شود چرا هنوز ترافیک دارد و مفهوم inbound connection چیست؟

3.چگونه می توان این پروسه را که قبلا بلوک کردم از حالت بلوک در بیاورم؟؟در آن صورت چه مزیتی بر من خواهد داشت؟

4.هدف از دسترسی به اینترنت برای این پروسه svchost.exe چیست؟

[HADI ONLY]

سوالات...

1.بلوک شدن این پروسس(svchost.exe)چه تاثیر سویی می تواند داشته باشد؟

2.وقتی این پروسس بلوک می شود چرا هنوز ترافیک دارد و مفهوم inbound connection چیست؟

3.چگونه می توان این پروسه را که قبلا بلوک کردم از حالت بلوک در بیاورم؟؟در آن صورت چه مزیتی بر من خواهد داشت؟

4.هدف از دسترسی به اینترنت برای این پروسه svchost.exe چیست؟

من قبلا گفتم که در مورد مشکل شما از پشتیبانی کمک گرفتم : (چت کردم )

1 - گفتم داداش در ارتباطات اینترنتی برات مشکل ساز میشه .( یکدفعه دیدی اینترنت سرعتش کم شد) مطمئن باش . این فایل به ویندوز مربوط میشه و نباید فایل های ویندوز را دست زد .
2 - Inbound connection یعنی کانکشنهای داخلی خود کامیپوتر . یعنی اگر با IDM دانلود کنی میزنه 100% . معمولا هنگام آپدیت ویندوز و ... برای svchost درصد میزنه /
3 - حتما باید از بلوک در بیاری . برو تو قسمت Network security policy .
4 - برای آپدیت های ویندوز و به طور کلی به ویندوز مربوط میشه .

موفق باشید .

[santamove]

یک سوال دیگه ای برام پیش اومد تفاوت تعریف کردن برنامه|پروسه قابل اطمینان از طریق
firewall---->define a new trusted application
با انجام این کار از طریق
firewall----->network security policy چیه؟

با وجود تعریف کردن از اولی،با مراجعه به nsp دیدم بازم یه قسمتی از پروسه svchost.exe بلوک شده{به شکل زیر نگاه کنید}


در ضمن من اتوماتیک آپدیت ویندوزو خاموش کردم و کلا هیچ مسنجری هم ندارم ولی می خوام بدونم چرا svchost.exe می خواد تبادل اطلاعات با اینترنت کنه!!!

لطفا بیایید همفکری کنیم....

[M E H R A N]

وقتی defense+ به من پیغامی داد که پروسس svchost.exe اجازه دارد به وب دسترسی پیدا کند،و من گزینه block را انتخاب کردم،
وقتی وارد محیط کاربری کومودو می شوم دو چیز توجه مرا بیشتر جلب می کند،


با وجود این که فایروال پروسس فوق را به طور مثال 222 بار بلوک کرده ولی این پروسه ترافیکinbound connection را دارد!!
شما می توانید در تصویر زیر جزئیات جلوگیری از 222بار فضولی!!! پروسس svchost.exe را ببینید...


سه سوال برای من پیش می آید؟

1.بلوک شدن این پروسس(svchost.exe)چه تاثیر سویی می تواند داشته باشد؟

2.وقتی این پروسس بلوک می شود چرا هنوز ترافیک دارد و مفهوم inbound connection چیست؟

3.چگونه می توان این پروسه را که قبلا بلوک کردم از حالت بلوک در بیاورم؟؟در آن صورت چه مزیتی بر من خواهد داشت؟

در قسمت active process list که ازdefense+کومودو وارد شدم،به این نکته جالب رسیدم:


یعنی این پروسه ها قابل اطمینانند؟!هدف از دسترسی به اینترنت برای این پروسه ها چیست؟

کمی این روند مرا گیج کرده،در جایی من آن ها را بلوک کرده ام در جایی می بینم ترافیک دارند و در جایی می بینم که آن ها trustedهستند،لطفا در این زمینه شفافسازی نمائید...

با تشکر ،

یک سوال دیگه ای برام پیش اومد تفاوت تعریف کردن برنامه|پروسه قابل اطمینان از طریق
firewall---->define a new trusted application
با انجام این کار از طریق
firewall----->network security policy چیه؟

با وجود تعریف کردن از اولی،با مراجعه به nsp دیدم بازم یه قسمتی از پروسه svchost.exe بلوک شده{به شکل زیر نگاه کنید}


در ضمن من اتوماتیک آپدیت ویندوزو خاموش کردم و کلا هیچ مسنجری هم ندارم ولی می خوام بدونم چرا svchost.exe می خواد تبادل اطلاعات با اینترنت کنه!!!

لطفا بیایید همفکری کنیم....

دوست عزیز این 2 پست شما فکر نمیکنم به کمودو و یا فایروال های دیگه ربطی داشته باشه. بلکه این شما هستید که با طرز کار svchost آشنا نیستید. من با جستجو در اینترنت مقالۀ مفیدی رو در این رابطه براتون پیدا کردم برید بخونید و هر موقع svchost را خوب شناختید اونوقت خودتون جواب همین سوال ها رو پیدا خواهید کرد.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

svchost کارهای خیلی زیادی را در سیستم عامل ویندوز انجام میده چند تا از کارهاش میتونه دفراگ کردن, رجیستری, ثبت فایل ها در حافظۀ موقت, جاسوسی برای مایکروسافت, ایجاد کردن ارتبات اینترنت از طریق درست کردن کانکشن ها و غیره میتوه باشه.

حالا با توجه به مقاله و توضیحات بالا Svchost بلاک شده چه فایده ای میتونه برای سیستم شما به غیر از ضرر رساندن به سیستمتون رو میتونه داشته باشه.

ویروسها و تروجانها هم کارشون اینه که دسترسی شما رو به اینترنت قطع کنند, رجیستری را ببندند و یا در کانکشن شما اختلال ایجاد کنند و شما الان دارید بصورت دستی این آسیب ها را از طریق CIS به سیستم خودتون میرسونید. اونوقت فرق CIS با یک ویروس چیه؟

[M E H R A N]

2.وقتی این پروسس بلوک می شود چرا هنوز ترافیک دارد و مفهوم inbound connection چیست؟

3.چگونه می توان این پروسه را که قبلا بلوک کردم از حالت بلوک در بیاورم؟؟در آن صورت چه مزیتی بر من خواهد داشت؟

inbound connection تمام درخواست هایی است که از طریق اینترنت برای دسترسی به کامپیوتر شما را از خارج به داخل نشون میده. این درخواست ها مثلا میتونه درخواست برای Remote باشه و یا توسط شخصی و یا مخربی برای در دست گرفتن کنترل سیستم شما انجام بشه.

برای اینکه inbound connection را کلا قطع کنید و خیالتون از این بابت راحت باشه میتونید بهترین تنظیمات برای CIS را که در پست دوم لینکش وجود داره را انجام بدید. در توضیحات مربوط به بهترین تنظیمات در قسمت فابروال به این موضوع اشاره کردم و گفتم که شما میتونید از طریق قسمت زیر...



تمام inbound Connection هاتون رو ببندید. لازمه به این مسئله هم اشاره کنم که تمام Inbound Connection ها توسط مخربها انجام نمیشه و برنامه های دیگه ای هم میتونند Inbound Connection داشته باشند. پس این خود شما هستید که باید تصمیم بگیرید که با توجه به برنامه ها و نیاز هایی که دارید آیا به Inbound Connection مثلا برای ریموت کردن احتیاج دارید یا خیر. آیا کامپیوتر تون رو با کامپیوتر های دیگه شبکه کردید یا خیر اگر به این موارد و مشابه این احتیاجی ندارید و تصمیم هم ندارید که استفاده کنید بهترین کار همونیه که در بالا اشاره کردم یعنی بستن تمامی Inbound Connection ها.

برای پاک کردن دستوری که در قسمت فایروال برای هر برنامه یا پروسه درست شده میتونید در قسمت Application Rules به ترتیب شماره ها عمل کنید و دستور ثبت شده در قسمت فایروال را پاک کنید.

[santamove]

یک سوال دیگه ای برام پیش اومد تفاوت تعریف کردن برنامه|پروسه قابل اطمینان از طریق
firewall---->define a new trusted application
با انجام این کار از طریق
firewall----->network security policy چیه؟

با وجود تعریف کردن از اولی،با مراجعه به nsp دیدم بازم یه قسمتی از پروسه svchost.exe بلوک شده{به شکل زیر نگاه کنید}


در ضمن من اتوماتیک آپدیت ویندوزو خاموش کردم و کلا هیچ مسنجری هم ندارم ولی می خوام بدونم چرا svchost.exe می خواد تبادل اطلاعات با اینترنت کنه!!!

این سوالم بی جواب ماند...

---------- Post added at 08:11 PM ---------- Previous post was at 08:08 PM ----------

برای پاک کردن دستوری که در قسمت فایروال برای هر برنامه یا پروسه درست شده میتونید در قسمت Application Rules به ترتیب شماره ها عمل کنید و دستور ثبت شده در قسمت فایروال را پاک کنید.

اگه با روش شما مثلا پروسس svchost.exe را پاک کنم،اونوقتunblock میشه؟؟؟
================================================== ==============
جمع بندی:
پس تفاوت روش شما(removeکردن از nsp )با تعریف کردن برنامه|پروسه قابل اطمینان از طریق
firewall---->define a new trusted application
با انجام این کار از طریق
firewall----->network security policy چیه؟

وقتی از روش شما remove می کنم،موقع بازگشت به network security policy مشاهده می کنم پروسه remove شده دوباره برگشته!

[M E H R A N]

این سوالم بی جواب ماند...

---------- Post added at 08:11 PM ---------- Previous post was at 08:08 PM ----------



اگه با روش شما مثلا پروسس svchost.exe را پاک کنم،اونوقتunblock میشه؟؟؟

1. سوال اول, خیر من همچین جیزی ندارم چون شما Svchost را با تنظیمات شخصی وارد دستورات فایروال کرده اید. پروسۀ Svchost بصورت پیش فرض جزو پروسه های قابل اطمینان در Comodo Firewall و Comodo Defense plus شناخته میشه و به همین دلیل به کاربران پیغامی جهت Alow یا Block کردن Svchost.exe داده نمیشه. در صورتی شما از طرف Comodo Firewall پیغامی برای Svchost دریافت خواهید کرد که از طریق این پروسه یک Inbound Connection بخواد صورت بگیره و این پیغام هم در صورتی نمایش داده خواهد شد که شما از بهترین تنظیمات برای بالا بردن امنیت CIS که قبلا گفته شده استفاده نکرده باشید.

2. بله اگر Svchost را فقط در فایروال بلاک کرده باشید آنبلاک میشه اما قسمت فایروال ربطی به +Defense نداره و اگر اونجا بلاک کرده باشید خیر. بنابراین پیشنهاد میشه که شما CIS را کاملا Uninstall کرده و بعد از ریستارت کردن سیستم برید و فولدر باقی مونده ازش رو هم که مربوط به فایل های تنظیماتش هست رو بصورت دستی پاک کنید و بعد دوباره CIS را نصب کنید و از تنظیمات گفته شده برای چندین بار استفاده کنید. در این صورت مشکلی هم اگر باشه بر طرف خواهد شد.

[outpost]

ا
وقتی از روش شما remove می کنم،موقع بازگشت به network security policy مشاهده می کنم پروسه remove شده دوباره برگشته!

خب معلومه که بر میگرده ، برای اینکه SVCHOST.EXE میخواد با اینترنت ارتباط برقرار کنه و دوباره Comodo براش قوانین تعریف میکنه.

در ضمن شم نباید این پروسه بلوکه کنید و همینطور نباید کلا آزاد بزارینش.

این پروسه باید تحت قوانین بسیار زیادی تحت کنترل قرار بگیره و تعریف دسترسیهاش کار من و شما نیست و باید به عهده خود فایروال بزارید.

من توی فایروال Outpost Firewall Pro نگاه کردم . برای SVCHOST.EXE حدود 20 قانون دسترسی برای شبکه تعریف کرده بود . ( به نظر شخصی خودم در تعریف قوانین پیش فرض برای فایلها ، فایروال Outpost یک سر و گردن از Comodo بالاتره و کنترل بسیار بهتری بر شبکه داره.)

اگر فایل SVCHOST.EXE شما مدام از طریق فایرول شما بلاک میشه ، احتمال الوده شدن فایل SVCHOST هست. بسیاری از ویروسها و تروجانها علاقه بسیار زیادی به آلوده کردن این فایل دارن.فایل SVCHOS درخواستهای inbound رو میپذیره و کامپیوتر شما دست یک هکر میافته.

اینکه فایل SVCHOS اینهمه درخواست inbound داشته میتونه نشوندهنده آلوده بودن فایل SVCHOST باشه.(ناگفته نمونه که من دیدم که کرک ویندوزهای 7 ، اکثرا فایل SVCHOST رو آلوده میکنن )